Lỗ hổng Zero-Day trong Ivanti VPN bị khai thác để phát tán 5 loại mã độc

- Trong giai đoạn hậu khai thác của hai lỗ hổng zeroday trên sản phẩm Ivanti Connect Secure (ICS) VPN từ tháng 12/2023, các chuyên gia bảo mật đã phát hiện và xác định rằng nhóm APT UNC5221 đang triển khai không dưới 5 dạng mã độc khác nhau.

Các đoạn mã độc này được sử dụng nhằm phá vỡ lớp xác thực và tạo đường truy cập backdoor đến các thiết bị bị ảnh hưởng.

Chuỗi tấn công của nhóm này sử dụng hai lỗ hổng bảo mật, bao gồm: lỗ hổng bỏ qua xác thực CVE-2023-46805 và lỗ hổng chèn mã CVE-2024-21887, nhằm đạt được quyền kiểm soát đối với thiết bị. Cụ thể, hai lỗ hổng này cho phép nhóm tấn công đạt được quyền truy cập ban đầu, triển khai webshell, cài đặt backdoor trong các tập tin hợp pháp, thu thập thông tin xác thực và dữ liệu cấu hình, cũng như thâm nhập sâu hơn vào môi trường của thiết bị người dùng.

Ivanti thông báo rằng chiến dịch tấn công này đã gây ảnh hưởng đến ít hơn 20 người dùng của họ và con số này có thể tăng lên do Ivanti đang sử dụng công cụ kiểm tra tính toàn vẹn để quét các thiết bị và phát hiện dấu hiệu về việc xâm nhập (IoC). Điều này chỉ ra chiến dịch có tính mục tiêu cao và đang trong quá trình đánh giá và xác minh. Bản vá an toàn thông tin cho hai lỗ hổng này được dự kiến sẽ phát hành từ ngày 22/01.

Phân tích chiến dịch tấn công cho thấy có ít nhất 5 loại mã độc khác nhau, được nhóm UNC5221 tích hợp bằng cách chèn vào các tập tin hợp pháp trong ICS và sử dụng các công cụ như BusyBox và PySoxy.

Đối với phần của thiết bị chỉ được phép đọc, nhóm đã sử dụng một script Perl có tên "sessionserver.pl" để làm cho hệ thống tệp có thể đọc/ghi, từ đó triển khai THINSPOOL. Điều này giúp ghi web shell LIGHTWIRE vào Connect Secure và thực thi các công cụ tiếp theo trong chuỗi tấn công.

LIGHTWIRE và WIREFIRE là hai webshell chủ chốt được tạo ra để đảm bảo duy trì kết nối từ xa tới các thiết bị bị ảnh hưởng. LIGHTWIRE được viết bằng ngôn ngữ Perl CGI, trong khi WIREFIRE được lập trình bằng Python.

Ngoài ra, trong chiến dịch của nhóm UNC5221 còn sử dụng mã độc đánh cắp thông tin WARPWIRE (JavaScript) và backdoor bị động ZIPLINE. ZIPLINE có khả năng thực hiện nhiều chức năng như tải lên/tải xuống file, thiết lập reverse shell, tạo máy chủ proxy, và cài đặt máy chủ tunneling để phân phối lưu lượng giữa các điểm cuối. Điều này cho thấy UNC5221 đặt mục tiêu duy trì kết nối với các mục tiêu quan trọng sau khi xâm nhập thành công.

Hiện tại, UNC5221 chưa được gán với bất kỳ nhóm APT hoặc quốc gia cụ thể nào. Tuy nhiên, thông qua phương thức tấn công tập trung vào hạ tầng vùng biên bằng việc sử dụng lỗ hổng zero-day và xâm phạm hạ tầng máy chủ C&C để tránh phát hiện bảo mật, là những đặc điểm rõ ràng của một nhóm APT.